+34 697 722 901 [email protected]

Javier Muñoz de HackerCar me pedía a principios de semana unas palabras sobre NameSouth, una empresa estadounidense de recambios de coches que estos días fue víctima de un hackeo. Los cibercriminales sacaron al parecer 3GBs de información tras infectar a la compañía con un ransomware, principalmente documentos fiscales, legales, y de sus trabajadores. Pidieron un rescate, y al negarse a pagar la cuantía que pedían, acabaron por liberar toda esa información en la DarkNet.

Estas fueron las preguntas que me hicieron y mis respuestas (ES):

¿Qué debería haber hecho esta empresa para haber evitado este robo de información? Y en líneas generales, ¿cómo debería proteger una empresa sus datos confidenciales?

A ver, cada organización es un mundo, pero lo recomendable en estos casos en particular (ransomware y filtrado de información confidencial), además de tener un sistema de alerta temprana implementado que nos alerte de potenciales filtraciones, pasaría por:

  • Establecer controles de seguridad efectivos (sistemas inteligentes de detección, sistemas de gestión de incidentes de seguridad, cortafuegos, honeypots…) que analicen el tráfico y actividades potencialmente sospechosas dentro de las fronteras de la organización, y bloqueen accesos según salten las alarmas.
  • Contar con una política de compliance correctamente aplicada (dejo claro que no vale solo con tenerla, hay que cumplirla…) que evite, por ejemplo, que un usuario infectado pueda exponer todos los recursos de la organización y no únicamente los que compete a sus labores.
  • Cifrar la información sensible y forzar el tratamiento de dicha información mediante canales cifrados. Por eso de que, una vez hecho el daño, al menos no puedan recompartir los datos en texto plano como parece que ocurrió en este caso.

¿Hizo bien la empresa no pagando el rescate que le pedían los crackers? ¿Cómo hay que actuar en estos casos?

La respuesta rápida y sencilla es decir que sí.

Ten en cuenta que estás hablando con cibercriminales. Nada te asegura que, una vez pagado, de verdad te devuelvan el acceso a tus documentos y cumplan su palabra de no publicar igualmente la información robada. Es más, puede ocurrir perfectamente que pagues, y que te vuelvan a extorsionar para que pagues aún más.

A fin de cuentas, este es el modelo de negocio típico de las extorsiones en Internet (pedir poco al principio, y luego ir pidiendo cada vez más, a sabiendas que la víctima una vez que paga una vez, ya seguramente pagará al menos otra u otras dos más antes de negarse).

Una vez estamos ante un caso como este lo recomendable primero de todo es acudir a las autoridades (Policía, Guardia Civil), y si no contamos con un equipo especializado, contratar a una compañía o experto que nos asesore sobre siguientes acciones.

Al final piensa que en este tipo de situaciones lo que interesa es volver a la normalidad lo antes posible, ya que por regla general mientras tenemos el sistema infectado por un ransomware, se bloquea parcial o totalmente la operativa diaria de la organización. Y eso es una pérdida constante de facturación (ya no es que no produzcas, es que directamente pierdes dinero).

¿Qué consecuencias podría sufrir la empresa ahora que esa información es pública?

La más importante, ya que afecta directamente a las arcas de la compañía, son los potenciales costes de una multa por inclumplimiento de contrato con algún cliente y/o exposición de datos privados. Por supuesto en esto ya depende qué regulación compete a cada organización, y si se puede demostrar que hicieron previamente todo lo posible para remediarlo o se puede achacar a una mala praxis organizacional.

Y por supuesto el factor reputacional, que afecta en primera fase de forma indirecta a las arcas, y a medio/largo plazo de forma directa.

En este caso, al parecer, los datos se hicieron públicos mediante una página de la darknet. Es decir, que seguramente en primera instancia quien se enteró de ello fueron otros cibercriminales suscritos al blog donde fue expuesta la información, y probablemente también gente del sector de la seguridad.

Ahora bien, al poco fueron varios medios digitales los que dieron a conocer la situación, como es el caso de esta página. Y al final eso no deja de ser un chorreo de enlaces reputacionalmente negativos asociados a la imagen de marca… Enlaces que un potencial cliente, o un cliente, van a ver cuando busquen información sobre la compañía.

¿Qué medidas debería tomar para protegerse de nuevos ataques causados por la difusión de la información extraída?

Lo mismo que te comentaba al principio de la entrevista. Establecer sistemas de alerta temprana, bunkerizar y compartimentar por permisos el acceso a la información por parte de todos los trabajadores, y cifrar las comunicaciones y sobre todo los documentos sensibles.

Eso y formar en competencias digitales a sus empleados, ya que muy probablemente ese ransomware, como el 95% de los ataques a empresas, entró no debido a un fallo de seguridad, sino a un fallo humano (un trabajador que fue engañado para descargar, abrir o pinchar lo que no debía).

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Pablo F. Iglesias
Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂